Lumière sur … Les principaux apports de la loi SREN en matière de protection des données et, plus particulièrement, en matière de données à caractère personnel

La loi visant à sécuriser et à réguler l’espace numérique (SREN) a été promulguée le 21 mai 2024. Elle a été publiée au journal officiel du 22 mai 2024.

En premier lieu, la loi SREN a pour objectif d’adapter le droit français à de nouveaux textes européens tels que le règlement sur les services numériques (DSA), le règlement sur le marché numérique (DMA), le règlement sur la gouvernance européenne des données ou « Data Gouvernance Act » (DGA). Ici, il ne s’agit pas d’une transposition de ces textes européens par la loi SREN en droit français, car ce sont des règlements et non des directives, mais cette loi permet d’adapter le droit français pour pouvoir appliquer ce « parquet numérique » européen.

En second lieu, la loi SREN prévoit un ensemble de mesures permettant de mieux réguler l’espace numérique, protéger les internautes, ainsi que les entreprises. Les sujets abordés par la loi sont nombreux comme la protection des enfants de la pornographie, la mise en place d’un filtre de cybersécurité anti-arnaque à destination du grand public, la lutte contre la désinformation de médias étrangers, la réglementation de l’informatique en nuage (le Cloud), etc.

Mais ce qui attire le plus l’attention dans cette loi en matière de données personnelles sont les dispositifs de la loi SREN concernant la gestion et la protection des données. Ces dispositifs ne visent pas uniquement les données non personnelles, mais également, dans certains cas, les données à caractère personnel.

Il serait intéressant de faire un tour rapide sur les points de la loi SREN ayant des enjeux en matière de protection des données personnelles :

La protection des données stratégiques et sensibles dans le cloud

La loi SREN consacre un chapitre à la protection des données stratégiques et sensibles qui sont stockées sur un cloud privé fourni par les fournisseurs de services cloud.

Avant tout, il faut souligner qu’elles ne concernent pas uniquement des données à caractère personnel. La loi précise que les données d’une sensibilité particulière sont des données à caractère personnel ou non si leur violation peut entraîner une atteinte à l’ordre publique, à la santé, à la vie privée des personnes ou à la propriété intellectuelle.

Selon la définition, la qualification des données d’une sensibilité particulière sont les données relevant de secrets protégés par la loi et les données qui sont nécessaires à l’accomplissement des missions essentielles de l’État. Par conséquent, les données d’une sensibilité particulière englobent des données non-personnelles, ainsi que des données personnelles, notamment les données de santé à caractère personnel.

Vu l’importance des données d’une sensibilité particulière pour l’accomplissement des missions de l’État, les nouvelles dispositions de la loi SREN indiquent que lorsque les administrations de l’État, de ses 400 opérateurs ou des groupements d’intérêt public, y compris le Health Data Hub, confient le stockage des données stratégiques et sensibles aux prestataires privés de cloud, ils doivent veiller à ce que ces fournisseurs de cloud mettent en œuvre des mesures de sécurité et de protection des données afin d’éviter tout accès à ces données par des autorités publiques des États tiers.

Dans un délai de 18 mois à partir de la promulgation de la loi SREN, le gouvernement va remettre au parlement un rapport. Ce dernier aura l’objectif d’évaluer les moyens supplémentaires qui pourront être pris en compte afin d’augmenter la protection face aux risques et menaces que les législations extraterritoriales peuvent apporter aux données qualifiées comme ayant une sensibilité particulière. De plus, ce rapport va évaluer la possibilité de soumettre les entreprises de cloud, établies en dehors de l’Union européenne à un chiffrement certifié par l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Quant à l’hébergement des données de santé, la loi mentionne qu’un décret va préciser les exigences en matière de transfert ou d’accès non autorisé par des États tiers.

L’élargissement du champ de compétence de la CNIL

Au titre du DGA

La loi SREN désigne la CNIL comme autorité compétente pour l’altruisme des données prévu par le règlement « Data Gouvernance Act » (DGA).

L’altruisme des données, ou data altruism en anglais est un modèle prévu par le DGA. Il permet aux parties prenantes (entreprises, particuliers, etc.) de partager les données pour des motifs d’intérêt général fondés sur le consentement par les personnes concernées ou l’autorisation accordée par les détenteurs de données à caractère personnel.

Selon ses nouvelles compétences, la CNIL pourra recevoir et traiter des demandes de notification d’organisations d’organisation altruistes en matière de données (OAD). De plus, la CNIL assurera la tenue du registre national des organisations altruiste en matière des données et le cas échéant traitera les plaintes relatives à ces organisations.

En cas de manquement de l’organisation altruiste à ses obligations, prévue par le DGA, la CNIL peut prononcer à leur égard des mesures correctrices comme la mise en demeure, la radiation du registre national ou une amende ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.

Au titre du DSA

La CNIL est désignée comme l’autorité compétente pour contrôler le respect de certaines obligations issues du DSA à l’égard des plateformes en ligne. Le champ des compétences de la CNIL concerne le contrôle du respect des obligations renforcées par ces plateformes sur la transparence en matière de publicité ciblée, l’interdiction du profilage sur la base des données sensibles ou le profilage des mineurs. A cette fin, la CNIL a de nouveaux moyens de contrôle : le pouvoir de saisir tout document sous le contrôle du juge et la possibilité d’enregistrer les réponses des personnes auditionnées.

Attribution aux juridictions d’une autorité de contrôle au sens RGPD

La loi SREN apporte des changements au code de justice administrative, au code de l’organisation judiciaire, ainsi qu’au code des juridictions financières. Selon ces modifications, le Conseil d’État, la Cour de cassation et la Cour de compte, chacun aura une autorité contrôle élue pour une durée de trois ans, renouvelable une fois, pour contrôler les traitements de données à caractère personnel effectuées par les juridictions administratives et judiciaires dans leurs fonctions juridictionnelles.

Modification apportée à la loi pour la confiance dans l’économie numérique (LCEN)

L’article 48 de la loi SREN apporte des modifications à la LCEN qui impliquent pour les éditeurs d’un service de communication au public en ligne de mettre à disposition du public « le cas échéant, le nom, la dénomination ou la raison sociale et l’adresse des personnes physiques ou morales qui assurent, même à titre gratuit, le stockage de données traitées directement par elles dans le cadre de l’édition du service ».

Que signifie cela dans la pratique par exemple pour les éditeurs d’un site internet ou d’une application ?

Cela renforce le principe de transparence à l’égard des utilisateurs. En effet, désormais les éditeurs des sites internet, applications… doit mentionner via leurs mentions légales non seulement l’hébergeur de leurs sites ou applications, mais également les fournisseurs de cloud qui assurent l’hébergement des données des utilisateurs de services en ligne proposés par ces sites internet ou applications.

 

News privacy loi SREN en matière de protection des données (7)
News privacy loi SREN en matière de protection des données (8)
News privacy loi SREN en matière de protection des données (9)
News privacy loi SREN en matière de protection des données (10)
News privacy loi SREN en matière de protection des données (11)
News privacy loi SREN en matière de protection des données (12)

Lumière sur … l’appréciation de la notion de dénigrement en cas de dénonciation par un distributeur d’une pratique de réduflation.

De plus en plus de fournisseurs réduisent la quantité des biens proposés, tout en maintenant les prix à un niveau constant ou en les augmentant. Cette pratique, connue sous le nom de « shrinkflation« [1], n’est pas explicitement prohibée, mais manque de transparence à l’égard des consommateurs. C’est pourquoi, certains distributeurs font le choix d’en informer ouvertement leurs clients, par le biais d’affiches positionnées au sein de leurs enseignes, à côté des produits concernés. Cette démarche peut être perçue comme une forme de « name and shame« , suscitant ainsi un débat sur sa licéité.

Si ce type de campagne peut constituer une pratique commerciale déloyale (I), elle peut également s’apparenter à un exercice légitime du droit à l’information des consommateurs (II).

 

I. Dénonciation d’une pratique de réduflation constitutive de pratique commerciale déloyale et trompeuse

Le droit de la consommation sanctionne la pratique commerciale déloyale, c’est-à-dire contraire aux exigences de la diligence professionnelle et qui altère ou est susceptible d’altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé (C. consom., art. L. 121-1). Le dénigrement est un type de pratique commerciale déloyale qui se définit comme la divulgation d’une information de nature à jeter le discrédit sur un concurrent.

Dans l’affaire Carrefour c/ Pepsi Co, l’enseigne de grande distribution Carrefour a diffusé au sein de ses points de ventes une campagne de publicité intitulée « shrinkflation » indiquant aux consommateurs à propos des produits du groupe PEPSICO France « Ce produit vu son contenant baisser et le tarif pratiqué par notre fournisseur augmenter. Nous nous engageons à renégocier ce tarif ». Cette campagne, alors que s’ouvrent les négociations pour l’année 2024, a eu un impact immédiat et brutal sur PepsiCo puisque ses ventes chez CARREFOUR au dernier trimestre 2023 se sont effondrées. Pepsi Co accuse Carrefour d’avoir commis un acte de dénigrement sanctionné au titre de la concurrence déloyale et demande le retrait des affichettes.

Pour le juge des référés (T. Com. Paris 24 janvier 2024, n°2023069037), cette communication constitue une pratique commerciale déloyale et trompeuse susceptible d’altérer le comportement économique du consommateur, et ce, pour plusieurs raisons :

  • Carrefour commercialise des produits directement concurrents de ceux de PepsiCo, sous sa propre marque ;
  • Carrefour n’indique pas l’ordre de grandeur de l’augmentation du prix au kilo ou au litre ;
  • Les informations sont invérifiables puisque le discours est vague et subjectif ;
  • Carrefour mentionne le « tarif » du fournisseur qui est un élément de la relation commerciale entre PepsiCo et Carrefour, et qui n’est donc pas connu du consommateur.

 

II. Dénonciation d’une pratique de réduflation justifiée par le droit à l’information du consommateur

À l’inverse, quelques jours plus tard (T. Com. Paris 8 février 2024, n° 2024004179), le Tribunal de Commerce de Paris s’est prononcé dans une affaire similaire, mais considère cette fois qu’un distributeur peut dénoncer des pratiques de réduflation sans se rendre coupable de concurrence déloyale.

L’affaire concerne une campagne, à propos des produits des marques Unilever, Knorr, Magnum et Carte d’Or, diffusée dans les points de vente de la société Intermarché, informant les clients que « les nouveaux formats de quantité réduite ont subi une augmentation de prix injustifiée pouvant aller jusqu’à + 39 % » avec des slogans tel que « AVANT MAGNUM, ÇA VOULAIT DIRE GRAND ». Il était également indiqué pour certains produits qu’ils ne seraient plus disponibles en rayons en raison d’une hausse de prix injustifiée (« KNORR J’ADORE J’ADORAIS »).

Selon le juge des référés, l’enseigne de grande distribution Intermarché ne pratique aucun dénigrement puisque l’information qu’elle délivre par le biais de cette campagne :

  • Se rapporte à un débat d’intérêt général (les pratiques actuelles de hausses tarifaires);
  • Repose sur une base factuelle suffisante ;
  • Et est exprimée avec mesure.

 

III. Dans quelle mesure la dénonciation d’une pratique de « shrinkflation » est-elle dès lors condamnable ?

Le fait de dénoncer une pratique de shrinkflation est condamnable lorsque la dénonciation ne sert pas le débat d’intérêt général, mais surtout lorsque cette dénonciation n’est pas assez précise, quantifiable et caractérise une pratique commerciale déloyale et trompeuse.

C’est dans ce contexte, et par transparence envers le consommateur, que les pouvoirs publics se sont emparés du sujet par un arrêté du 16 avril 2024 afin de rendre un affichage obligatoire de cette information par les industriels dans l’intérêt des consommateurs.

En effet, à partir du 1ᵉʳ juillet 2024, il sera obligatoire, pour les distributeurs, lorsqu’un produit de grande consommation a subi une modification de poids ou de volume à la baisse entrainant une hausse de prix à l’unité de mesure de préciser de l’évolution du prix rapporté au poids, afin que le consommateur soit informé de l’évolution du prix.

[1] Néologisme dérivant de l’anglais et provenant de la contraction du verbe « to shrink » signifiant rétrécir et du mot « inflation », francisé en “réduflation”

 

—–

SOURCES :

1
2
3
4
5